Blokada: polska policja, cyberprzestepczość department

[misiek1122]

Witam dzis dopadl mnie wirus, blokada nazywana jak w tytule. Pierwszy raz sie z tym spotykam i gdy dodam logi to mam nadzieje, ze zostana mi wskazane dalsze wskazowki. Z gory dziekuje

OTL.Txt

Extras.Txt

[picasso]

Są tu dwie infekcje oraz adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\netdislw.pad
C:\Users\dom\AppData\Local\speeddial.crx
C:\Program Files (x86)\mozilla firefox\extensions\{24be98be-9862-83d3-becc-d31055faa3cc}
C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
 
:OTL
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchya.com/?s=0&a=foxtab&chnl=ft-185&cd=2XzuyEtN2Y1L1QzuyDtD0EyDyEzyyDzz0EtA0B0C0AyE0F0AtN0D0Tzu0CtBtByDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1276374667"
IE:64bit: - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-185&cd=2XzuyEtN2Y1L1QzuyDtD0EyDyEzyyDzz0EtA0B0C0AyE0F0AtN0D0Tzu0CtBtByDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1276374667"
IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-185&cd=2XzuyEtN2Y1L1QzuyDtD0EyDyEzyyDzz0EtA0B0C0AyE0F0AtN0D0Tzu0CtBtByDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1276374667"
IE - HKLM\..\SearchScopes\{31E00588-F1CE-4CA0-9CAB-BF59C994B1A7}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=3fd5cefa-ff7e-11e1-85a8-50e54958e3bc&q={searchTerms}"
IE - HKU\S-1-5-21-1583026313-4134333457-2562098995-1000\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-185&cd=2XzuyEtN2Y1L1QzuyDtD0EyDyEzyyDzz0EtA0B0C0AyE0F0AtN0D0Tzu0CtBtByDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1276374667"
IE - HKU\S-1-5-21-1583026313-4134333457-2562098995-1000\..\SearchScopes\{31E00588-F1CE-4CA0-9CAB-BF59C994B1A7}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=3fd5cefa-ff7e-11e1-85a8-50e54958e3bc&q={searchTerms}"
IE - HKU\S-1-5-21-1583026313-4134333457-2562098995-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={E5E8DD50-1A24-4C3C-8738-4DACD0F97E12}&mid=bf9818eba58c46f5b29783cdcf9a4139-4420ae0bb0f8c0c731977f94c56e48ff75338628&lang=pl&ds=ax011&pr=&d=2012-10-22 16:06:15&v=13.2.0.3&sap=dsp&q={searchTerms}"
O3 - HKU\S-1-5-21-1583026313-4134333457-2562098995-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-1583026313-4134333457-2562098995-1000..\Run: [Java] C:\Users\dom\AppData\Roaming\Microsoft\jusched.exe ()
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Backup.Old.Start Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

 

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, AVG Security Toolbar, Browsers Protector, Contextual Tool Extrafind, DAEMON Tools Toolbar, KMPlayer Toolbar Updater, StartSearch Toolbar 1.3.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[misiek1122]

Skanowanie olt zrobilem z takimi samymi ustawieniami jak poprzednio:

 

A to jest ten drugi log:

AdwCleanerS1.txt

OTL.Txt

[picasso]

Infekcja pomyślnie usunięta. Kończymy:

 

1. Drobna poprawka na ustawienia IE. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"ROC_roc_ssl_v12"=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" skasuj z Pulpitu.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Windows (instalacja SP1+IE9), pakiet Office 2010 (instalacja SP1) i Adobe Reader: KLIK.

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.2
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010

 

 

 

.

[misiek1122]

mam pytanie: czy jak znow wyskoczy mi taki wirus to moge uzyc tych ustawien ponownie, czy musze od nowa wszystko robic?

[picasso]

To są instrukcje niepowtarzalne, stworzone w oparciu o widok systemu z określonego punktu czasowego i zawierające operacje szersze niż tylko ta konkretna infekcja. Nie, tego nie można powtórzyć, przy wystąpieniu problemu ponownie analityka rozpoczyna się od zera na podstawie świeżych logów z systemu. Nawiasem mówiąc: wariantów tej infekcji też masa, komunikat może być podobny, a wpisy różne i niepodobne do poprzednich.

 

Niepokojącym jest, że zadajesz mi to pytanie.

 

 

 

.

[misiek1122]

dzisiaj ponownie mi sie to samo zrobilo, jak mozesz pomoc to podsylam logi:

OTL.Txt

Extras.Txt

[picasso]

Tak sądziłam, że złapałeś powtórnie. Teraz instrukcje całkiem inne, bo też i inny wariant infekcji złapałeś (inne nazwy plików).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\ProgramData\netdislw.pad
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Nie wykonałeś z mojego posta #4 akcji z plikiem FIX.REG lub wykonałeś to niepoprawnie (bo jakiś plik FIX.REG na Pulpicie widzę). Przeprowadź to od zera: stwórz nowy plik i zaimportuj.

 

3. W międzyczasie nabawiłeś się kolejnego zbędnika, czyli McAfee Security Scan Plus (sponsor paczek Adobe = nieuważna instalacja Adobe Flash). Odinstaluj.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[misiek1122]

Fix stworzony i scalony, w koncowej fazie wyskoczyl komunikat o prawidlowym rejestrze.

 

McAfee odinstalowany.

 

Logi:

 

Wszystko sie zgadza czy jakies poprawki trzeba wniesc?

OTL.Txt

[picasso]

misiek1122, nie twórz posta pod postem z pytaniami "wszystko się zgadza?". Ja widzę nowy post i udzielam odpowiedzi, gdy jestem w stanie. Zadania niepomyślnie wykonane. O ile FIX.REG tak, to w ogóle nie ma znaków usunięcia infekcji, nadal te same pliki na dysku... Co się działo podczas wykonywania skryptu, jakiś niespodziewany restart lub błąd?

 

1. Powtórka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\netdislw.pad
C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:Commands
[reboot]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

.

[misiek1122]

po wykonaniu skryptu wlaczylo mi sie okienko z informacja internet explorer przestal dzialac (jakos tak) i nie zrobilem nic z tym okienkiem tylko nacisnalem restart gdy pojawil sie komunikat ze ocl musi zrestartowac komputer. A gdy teraz restartowal sie to przy wylaczaniu musialem wymusic zamkniecie internet explorer. Jbc zamienilem logi ocl bo ten co byl przed chwila byl z extras robiony, a zamiescilem tylko plik ocl. Teraz jest ten poprawny log bez extras jak w poradniku jest napisane (bez dodatkowego rejestru)

 

Log:

OTL.Txt

[picasso]

Nie wiem co się dzieje, te pliki są jak przyklejone. Zmiana metody:

 

1. Przejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\ProgramData\netdislw.pad

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Ręcznie zresetuj system, wejdź do Trybu normalnego i zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[misiek1122]

W trybie awaryjnym nie wyskoczylo mi okienko z internet explorer. Po wykonaniu skryptu nacisnalem ok (otworzyl mi sie powstaly log, gdzie sa te 2 linijki podane przez Cb i na koncach jest napisane not found.). Zamknalem okienko, start i uruchom ponownie. Uruchomil sie w trybie normlanym i powstaly log:

 

Wszystko dziala i nie ma wirusa juz. Polecenia wykonane, dziekuje bardzo za pomoc

OTL.Txt

[picasso]

W końcu się usunęły te pliki. Możemy kończyć:

 

1. W OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj poniższy folder po resecie Firefox, bo poprzednio tego nie zrobiłeś:

 

C:\Users\dom\Desktop\Stare dane programu Firefox

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do wykonania zaległe aktualizacje:

 

Zaktualizuj Windows (instalacja SP1+IE9), pakiet Office 2010 (instalacja SP1) i Adobe Reader: KLIK.

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.2
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010

 

 

.

[misiek1122]

ponowna prosba o pomoc. Plus szczerze mowie iz nie zdazylem zrobic tych aktualizacji bo jak ja tego nie zrobie to nikt inny nie zrobi. A dowiedzialem sie ze brat trafil na tego wirusa. Teraz chcialem zrobic jak mam wolna chwile, ale do aktualizacji potrzebny jest internet (pliki pobrane do aktualizacji na laptopie mam). Wiec teraz zrobie to do konca. Logi:

OTL.Txt

Extras.Txt

[picasso]

1. Wejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\ProgramData\netdislw.pad
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Przejdź w Tryb normalny Windows. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[misiek1122]

Log:

 

dziekuje na blyskawiczna pomoc

OTL.Txt

[picasso]

Usunięte. Wiesz co dalej: Sprzątanie w OTL, czyszczenie folderów Przywracania systemu, aktualizacje...